Intel Alder Lake プロセッサの BIOS ハードウェア コードが 4chan に投稿されました
数日前にネットで Alder Lake UFEIコードリークに関するニュースがリリースされました Intel から 4chan で、コピーが後で GitHub で公開されました。
ケースについて Intel、すぐには適用されませんでしたが、現在、信頼性が確認されています GitHub で不明な人物によって投稿された UEFI および BIOS ファームウェアのソース コードから。 5,8 年 2021 月にリリースされた Alder Lake マイクロアーキテクチャに基づくプロセッサを搭載したシステム向けに、合計 XNUMX GB のコード、ユーティリティ、ドキュメント、ブロブ、およびファームウェアの形成に関連する構成が公開されています。
Intel は、関連ファイルが数日前から出回っていると述べており、そのようなニュースは Intel から直接確認されていると述べており、Intel は、この問題がチップのセキュリティと使用されているシステムであるため、このケースについて心配する必要はありません。
Intelによると、リークはサードパーティが原因で発生した これは、会社のインフラストラクチャが侵害された結果ではありません。
「当社独自の UEFI コードが第三者によってリークされたようです。 セキュリティ対策として情報の難読化に依存していないため、これによって新しいセキュリティの脆弱性が明らかになるとは考えていません。 このコードは、Project Circuit Breaker 内のバグ報奨金プログラムによってカバーされており、潜在的な脆弱性を特定できる研究者は、このプログラムを通じて注意を喚起することをお勧めします。 この状況について情報を提供するために、顧客とセキュリティ研究コミュニティの両方に連絡を取っています。」 — インテルの広報担当者。
そのため、リークのソースとなった正確な人物は特定されていません (たとえば、OEM 機器メーカーやカスタム ファームウェアを開発している企業は、ファームウェアをコンパイルするためのツールにアクセスしていたため)。
ケースについて、公開されたファイルの内容の分析により、いくつかのテストとサービスが明らかになったことが言及されています 特定の レノボ製品の (「Lenovo Feature Tag Test Information」、「Lenovo String Service」、「Lenovo Secure Suite」、「Lenovo Cloud Service」) が、リークへの Lenovo の関与により、OEM 向けのファームウェアを開発する Insyde Software のユーティリティとライブラリも明らかになりました。 git ログには、からの電子メールが含まれています の従業員の一人 LCフューチャーセンター、さまざまな OEM 向けにラップトップを製造しています。
Intelによると、オープンアクセスになったコードには機密データは含まれていません または新しい脆弱性の開示に寄与する可能性のあるコンポーネント。 同時に、Intel プラットフォームのセキュリティの研究を専門とする Mark Yermolov 氏は、文書化されていない MSR ログ (モデル固有のログ、マイクロコードの管理、追跡、およびデバッグに使用されるログ) に関する情報を公開ファイルで開示しました。非機密保持契約。
さらに、 ファームウェアにデジタル署名するために使用される秘密鍵がファイル内に見つかりましたその Intel Boot Guard 保護をバイパスするために使用される可能性があります (キーの動作確認はしておりません、テストキーの可能性があります。)
また、オープン アクセスになったコードはプロジェクト サーキット ブレーカー プログラムをカバーしていることにも言及されています。このプログラムには、ファームウェアと Intel 製品のセキュリティ問題を特定することに対して 500 ドルから 100,000 ドルの範囲の報酬が支払われます (研究者は報告することで報酬を受け取ることができると理解されています)。リークの内容を使用して発見された脆弱性)。
「このコードは、プロジェクト サーキット ブレーカー キャンペーン内のバグ報奨金プログラムでカバーされており、潜在的な脆弱性を特定できる研究者は、このプログラムを通じて報告することをお勧めします」と Intel は付け加えました。
最後に、データ漏洩に関して、公開されたコードの最新の変更は 30 年 2022 月 XNUMX 日の日付であるため、公開された情報は更新されていることに注意してください。